前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的無線網絡安全防范措施主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:無線網絡;安全;防范措施
一、針對無線網絡的主要安全威脅
1.數據竊聽
竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商業信息。
2.截取和篡改傳輸數據
如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。
二、常見的無線網絡安全措施
1.MAC地址過濾
MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
2.隱藏SSID
SSID(Service Set Identifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。
三、無線網絡安全措施的選擇
應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性,因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。
關鍵詞:無線網絡;入侵;安全;防范
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 01-0000-01
隨著無線網絡技術的飛速發展和商業化普及,無線網絡正在成為單位局域網絡的重要組成部分。由于無線網絡的微波信號在空氣中進行數據信息傳輸的時候,受自然天氣情況、建筑物障礙,以及與其他微波信號的相互干擾等原因都可以導致無線網絡信號的中斷、衰減,從而影響無線信號的穩定性,同時也影響者無線網絡的安全性,所以建立安全、穩定的無線網絡是各單位網絡部門必須考慮的問題,而無線網絡的安全性又是首要考慮的問題。
一、威脅無線網絡安全的途徑
(一)進行搜索攻擊。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處于活動狀態,如果沒有關閉(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(SecureSetIdentifier,安全集標識符)等可給黑客提供入侵的條件。
(二)網絡接管與篡改。同樣因為TCP/IP設計的原因,某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP,那么所有來自無線網的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。
(三)竊取網絡資源。有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。
(四)泄露威脅包括竊聽、截取和監聽。即使網絡不對外廣播網絡信息,只要能夠發現任何明文信息,攻擊者仍然可以使用一些網絡工具,如AiroPeek和TCPDump來監聽和分析通信量,從而識別出可以破解的信容。另外,還有其它一些威脅,如客戶端對客戶端的攻擊、干擾、對加密系統的攻擊、錯誤的配置等,這都屬于可給無線網絡帶來風險的因素。
二、安全防護對策
(一)使用各種最新的身份認證措施來防止未經授權用戶的訪問。無線信號都是在空氣中傳播的,那么也就難免會傳播到其它一些不希望到達的地方,只要是在信號覆蓋范圍內,那非法用戶無需任何物理連接就可以獲取無線網絡的數據,因此,必須從多方面防止非法終端接入以及數據的泄漏問題。
(二)利用網卡MAC地址來防止非法AP的接入訪問。每塊無線網卡都擁有唯一的一個MAC地址,如果我們為AP設置一個基于MAC地址的Access Control(訪問控制表),就可確保只有經過注冊的設備才能進入網絡。預防非法AP的接入訪問,可以利用對AP的合法性驗證以及定期的站點審查來防止。
(三)無線網絡設備典型情況下都包括WEP或WPA加密。這兩種加密形式都有助于保護網絡,但WPA要比WEP更加健壯和安全。為了實施WPA或WEP,用戶需要在無線網絡的所有無線設備上都輸入一個加密密鑰,一般情況下,產品的用戶手冊都會包括一個如何配置加密密鑰的詳細指南。簡言之,基本的安全要求用戶至少考慮以下幾個方面:互聯網和本地網絡之間有一個NAT防火墻;啟用MAC地址過濾;啟用了無線客戶端的WPA或WEP加密嗎。
(四)建議禁用DHCP和SNMP設置。從禁用DHCP對無線網絡而言,這很有意義。如果采取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關于SNMP設置,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關你方網絡的重要信息。
(五)反病毒軟件。反病毒軟件的基本功能是相同的,但用戶至少需要考慮以下幾個方面:這種軟件支持自動更新從而便于檢測新病毒的時間;掃描病毒的速度如何;它可以掃描并清理即時通信程序的附件;它附帶一個軟件防火墻;病毒的清除要求用戶的參與。
(六)軟件防火墻。防火墻管理著通過這些端口的通信,它可以阻止,或放行,有時它會問用戶是否希望準許一個將要打開的連接?多數防火墻包括一個通用的規則集,它準許用戶設置準許什么、禁止什么類型的通信。
(七)硬件防火墻。許多路由器都內置了硬件防火墻。硬件防火墻利用其自己的處理器進行端口過濾和加密任務,這意味著幾乎不太可能耗盡計算機中的資源,這也就給用戶們更佳的總體性能。還有一些防火墻準許用戶建立從互聯網到LAN的VPN連接,這就使得用戶即使在路途中也可以訪問自己的計算機。
三、網路的服務與管理。
(一)無線疏于防范。在網絡中,對于無線網絡的管理更應該加強。雖然目前在無線安全保障機制方面包括有WEP加密、VLAN、VPN、802.1x,以及最新頒布實施的802.11i無線網絡安全標準等多種方式,但稍有一絲疏忽,整個網絡就會受到致命的破壞。
(二)無線網絡的管理被很多單位建設者認為可有可無。眾所周知,在目前所出現的網絡安全問題中,雖然病毒、DoS攻擊日益猖獗,但80%以上的不安全因素來自于網絡內部。在對有線網絡的管理上,由于其自身的成熟技術和意識已日趨完善,而對于無線網絡,存在著不經常使用,或只是使用很少的錯誤意識而忽視對其管理,這樣就容易造成與有線網絡脫節,從而引起管理中的失誤,形成整個網絡的不安全漏洞。因此,管理需要系統考慮。
總之,雖然無線網絡自身技術中所存在的缺陷容易造成對其管理上的缺陷,但要想真正管理好無線網絡其實并不難,除了加強有線網絡自身的管理之外,從整個網絡系統全面考慮網絡的管理就足以使無線局域網更加穩定可靠地運行。采用類似于對有線網絡的管理方式,通過監控整個無線局域網的運行狀況,發現網絡瓶頸和設備故障,方便配置WLAN設備,以及對網絡資源進行合理分配即可實現對無線網絡的全面管理。
參考文獻:
關鍵詞:無線網絡安全防范措施
隨著信息化技術的飛速發展,很多網絡都開始實現無線網絡的覆蓋以此來實現信息電子化交換和資源共享。無線網絡和無線局域網的出現大大提升了信息交換的速度和質量,為很多的用戶提供了便捷和子偶的網絡服務,但同時也由于無線網絡本身的特點造成了安全上的隱患。具體的說來,就是無線介質信號由于其傳播的開放性設計,使得其在傳輸的過程中很難對傳輸介質實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網絡。因此,如何在組網和網絡設計的時候為無線網絡信號和無線局域網實施有效的安全保護機制就成為了當前無線網絡面臨的重大課題。
一、無線網絡的安全隱患分析
無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。
IT技術人員在規劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。
針對無線網絡的主要安全威脅有如下一些:
1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。
2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。
二、常見的無線網絡安全措施
綜合上述針對無線網絡的各種安全威脅,我們不難發現,把好“接入關”是我們保障企業無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。
三、無線網絡安全措施的選擇
應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。
最后,任何的網絡安全技術都是在人的使用下發揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網絡安全意識,才能真正實現無線網絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。
現在,不少企業和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時,因為對無線網絡的安全不夠重視,對局域網無線網絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性,提高企業的信息化的水平。
參考文獻:
[1]譚潤芳.無線網絡安全性探討[J].信息科技,2008,37(6):24-26.
原有的單一通信技術,無線通信的產生方式和傳輸技術在逐步的完善,相應的,信息的傳播安全和傳播途徑的可信度受到了大家的關注。國家電力企業將通信公司的2G/3G/4G無線移動網絡和電力信息通信相結合,取長補短,組建了具有廣泛性,高效能,嚴格保密特點的電力無線虛擬專網,為智能化通信網絡在語音、數據、圖像、視頻等多媒體方面提供技術支持。
1電力無線虛擬專網組成結構
國家電力企業信息內網工作信息的傳送途徑主要以電力無線虛擬專網為主要途徑,電網組成是各級電網單位與通信公司相結合的集中接入的方式,如有想要加入到國家電網內部信息網絡的客戶,客戶信息網絡會通過最終客戶端連入通信公司的無線網絡,再通過信息公司的相應傳送途徑進行包裝,到達客戶端后進行解析工作,然后,安裝信息安全裝置才能加入企業的信息內網。
2電力無線虛擬專網的安全防范措施
國家電網無線網絡連接的共同途徑為電力無線虛擬專網,它存在很多的安全隱患,包括信息傳送的安全隱患和信息范圍的安全隱患,從在網絡信息安全和傳送范圍兩個方面入手大力保護,可減少信息傳送過程中出現的安全隱患。電力無線虛擬專網網絡起于通信公司無線基站止于電力安全防護設備,供電廠的主要工作是減少電力側網絡設備、電力側安全防護設備及客戶端的運行問題,確保客戶終端可以流暢應用,通信公司主要工作是減少無線基站、運營商IP承載網、專線的運行問題,使其規律的工作。此篇文章主演探究電力無線虛擬專網電力網絡側、電力網絡邊界側信息安全防范措施。
3電力無線虛擬專網數據保護要點
國家電網公司電力無線虛擬專網主要覆蓋信息內網業務,根據信息內網的安全防護要求,針對業務應用數據的重要程度,結合國家電網公司終端實際使用情況及成本效益綜合考慮,電力無線虛擬專網可采用安全防護架構。信息安全防護方案將電力無線虛擬專網分為三個區域:電力無線虛擬專網域、網絡邊界域和內網域。專網域采用租用運營商的專用傳輸通道承載無線終端數據;網絡邊界域采用防火墻和IDS等安全設備進行訪問控制和網絡攻擊檢測,采用公司專用的安全接入設備實現終端到邊界的加密傳輸、終端合法性認證和數據隔離交換等安全功能。
4電力無線虛擬專網信息安全防護措施
根據電力無線虛擬專網安全防護架構、安全區域劃分以及安全責任分界面的劃分等方面考慮,分別從電力企業側與運營商側闡述信息安全防護措施。
4.1電力企業側信息安全防范方法
電力企業在網絡信息安全范圍和信息內網域采用信息安全防范方法,以完成網絡信息安全范圍、信息內網域的安全防范。4.1.1安全范圍規劃:電力無線虛擬專網邊界對安全范圍進行嚴格規劃,使網絡使用范圍明了,對每個安全范圍都應用合適的安全防范方法,并且,對已經到達的網絡信息加以系統的安全保障措施,更好的提升瀏覽監控、危險檢測、輸送監管和客戶端認證等應用的使用性能。4.1.2訪問控制:在邊界接入設備上針對源地址制定訪問控制,禁止不同APN業務互訪;使用防火墻制定嚴格的訪問策略實現專網域至網絡邊界域的訪問控制。4.1.3安全隔離:采用電力企業專用安全接入設備實現網絡邊界域與內網域之間的數據安全交換,阻止非法網絡連接穿透網絡邊界訪問信息內網。4.1.4安全防御及入侵檢測:在邊界部署防火墻及入侵檢測系統,實現抗DOS攻擊、防惡意代碼等功能,即時監視網絡行為和網絡攻擊檢測。4.1.5安全審計:對邊界安全設備進行日志記錄及審計,為評估網絡安全性及網絡安全加固提供依據。4.1.6隧道加密傳輸:在無線終端與電力企業專用安全接入設備之間建立安全加密傳輸通道傳輸業務數據,保障業務數據的安全傳輸。4.1.7接入控制:建立身份認證系統對接入網絡用戶進行強認證,禁止非法用戶接入;信息內網業務系統采取有效措施對接入電力無線虛擬專網的終端硬件特征進行認證。
4.2通信公司隱患預防方法
通信公司使用隱患預防方法,以完成無線信息專網系統的網絡安全連接保護、專用途徑分類等專網域安全防護。4.2.1網絡信息安全連接保護:客戶端應用特定的APN接入,同時通信公司進行電力無線虛擬專業網絡合法SIM卡授權,通過授權后的合法SIM卡可以獲得訪問權,但不可以瀏覽互聯網和其他網絡。4.2.2APN訪問監管:相同的APN內客戶端不可以相互訪問,相反的,不同的APN內客戶端允許互訪。4.2.3特定通道及分離:在GGSN上電力無線虛擬專網用戶應用VRF技術與其他用戶路由分離;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司網絡中輸送電力無線虛擬專網信息以完成專網專用的目的,使其更好的與其他網絡傳播途徑區別。
5結束語
1無線網絡介紹及應用
無線局域網,即“WLAN”(WirelessLocalAreaNetwork),是計算機網絡與無線通信技術結合,高速發展的產物。比起傳統的以太網,無線網絡是在空中傳播射頻信號,能滿足信號范圍內的數據接收,使得通信的移動性、便捷化及個人化最大實現。WLAN能夠讓用戶及時有效的訪問網絡信息,實現網絡的移動互連,同時克服網線線纜的限制,改善有線網絡引起的不便。圖1是無線網絡的工作流程圖,從中可以看出無線網絡具體的工作過程。
無線網絡在個人、家庭和企業都得到了廣泛應用,在各式各樣的無線網絡中,無線局域網是最為普遍的,它應用到了硬件設備及軟件設備兩個不同的領域。無線網絡主要是通過紅外線、WiFi、藍牙這三種方式進行數據傳輸,它們各有自己的特色和使用區域。紅外線無線傳輸主要應用于電視、空調等家電遙控器中,它的通訊距離相對較短,傳輸速度也很快,可達到16Mbps左右,是利用紅外線中電磁波進行數據傳送的一種方式。WiFi是“無線相容性認證”的簡稱,目前主要運用的是802.11b標準和802.1lg標準,雖然理想情況下它們的傳輸速度分別可以達到11Mbps和54Mbps,但實際使用時,只能實現理想狀況的一半左右,但已經足夠擺脫對網絡線纜的依賴,實現音頻傳輸。藍牙是全球開放的無線傳輸,它的自由頻段為2.4GHz,雖然一般數據傳輸的速度只有lMbps,最高也只能達到3Mbps左右,但是卻是應用最為廣泛的一種。市面上的無線家庭影院產品,不管使用的是哪種無線傳輸方式,在傳輸表現上都不錯,音質完美,視屏流暢清晰,沒有出現大家擔心的訊號遲鈍、音質不好、視頻粗糙等問題。現在WiFi無線網絡技術已成為社會主流,英特爾公司在WiFi上取得了巨大成功,成為了倡導WirelessUSB技術的先鋒。無線USB接口技術在近距離能夠達到480Mbps的數據傳輸率,比起IEEE1394和USB2.0,WirelessUSB最大的優勢是“無線”,這是現在的技術所難以抗衡的。另外,由于WirelessUSB技術強化了媒體數據傳輸的性能,比起現在的有線USB技術,能更快地進入無線PC、數碼相機、打印機、鍵盤和鼠標產品等科技領域,這是無線網絡技術的一次革新。
2無線網絡安全隱患
無線網絡安全威脅是指非授權用戶對資源進行竊取,給資源的保密完整性及授權用戶合法使用資源的權力造成破壞的問題。無線網絡與傳統的有線網絡相比,安裝簡單、攜帶方便、靈活機動,解決了有線網絡在時間空間上的限制,大大提高了數據傳輸的效率。但正是這些特點,使得無線網絡不僅存在有線局域網面臨的安全威脅,還存在其特有的一些安全隱患。
2.1信號干擾
信號干擾主要來自兩個方面,一個是周邊設備所帶來的,另一個是同類設備導致。現在的無線網絡,一般是采用ISM,即工業、科學、醫學頻段,而最為常用的IEEE80211b/g與微波爐、移動電話等的工作頻率相同,都是2.4GHz。另外,一些復印機、防盜設施等常用設備,也對其造成了一定的影響。而在無線網絡使用中,這些設備經常與其同時出現,對無線網絡的信號造成干擾。還有同類設備帶來的干擾,由于無線網絡的廣泛應用,同一建筑物或附近建筑物同時使用無線網絡的情況比比皆是,若使用的信息通道一樣,就會相互造成干擾,使得網速下降、信號不穩。
2.2數據的竊聽、截取和篡改
無線網絡的載體是公共的電磁波,玻璃、樓層等物體都能輕易穿過,無線信號就會傳播到其余的無線客戶端。由于它的開放性,無線網絡很容易被入侵,造成數據的泄露。而使用NetStumbler、AiroPeek、TCPDump等專門的軟件,更是能輕而易舉地截取信息,甚至進行篡改。就是說竊聽網絡傳輸不需要專門的竊聽設備,卻能得到機密數據,對其他系統進行攻擊。如果入侵者連接到了內部網絡,可以篡改使用者的數據信息,釋放病毒,使得合法用戶的服務降低,嚴重的話,甚至會導致電腦的癱瘓,這是無線網絡安全威脅中最為常見、嚴重的一種。
2.3拒絕服務和網絡堵塞
無線網絡入侵者會發出DOS(DiskOperationSystem)即磁盤操作系統攻擊,干擾低層無線網絡運行,或發送大量數據導致網絡堵塞,破壞無線網絡的正常使用,造成安全隱患。
2.4用戶缺乏安全防范的意識
很多家庭用戶在使用無線網絡時,沒有采取或采取的安全措施不到位,不能防止蹭網者及黑客的入侵。不僅是個人、家庭,很多企業在應用無線網絡時,忽視對它的管理,難以發揮出無線網絡的優勢,還給企業的網絡安全埋下了安全隱患。
3無線網絡安全防護策略
做好無線網絡安全防護,保護其免受入侵者的威脅,提高使用的安全性,做好通信的保密性,主要可以從幾個方面進行改善。
3.1要規劃天線的放置,把握信號覆蓋范圍
要將無線網絡的天線放置在合理安全的地點,將信號控制在一定的范圍之中,讓覆蓋區以外的地點不能接收到。然后,將天線放在覆蓋區的中心位置上,減少信號的外泄。部署好之后,要進行完整徹底的勘測,確定信號的覆蓋和不外泄。
3.2變更SSID和禁止SSID廣播。
SSID(服務集標識符)是客戶端用來建立連接的訪問點識別字符串,是由無線設備制造商設定,如果入侵者得知,就可以輕易使用無線網絡。在安裝無線網絡后,一定要馬上變更SSID,改用別人難以猜到的命名。禁止SSID通過天線廣播,可以阻止入侵者,保障網絡的安全。也可以干脆關閉SSID,雖然會對網速產生一定的影響,但是安全性會大大提高,建議一般的個人和家庭使用者這么做。
3.3MAC地址的過濾
這是無線網絡安全措施較為常見的一種,可以達到過濾未知設備連接自己的網絡的目的。每個用戶的MAC地址都是唯一的,通過設置MAC地址列表,設置只有列表中的用戶才可以訪問網絡,杜絕入侵者的威脅。一般的家庭用戶,可以將家中電腦放在列表中,啟動MAC地址過濾,避免鄰居蹭網和黑客入侵。
3.4禁用DHCP
DHCP(DynamicH0stConfi2urationProtocol)即動態主機分配協議,可以幫助用戶進行IP地址隨機分配,方便用戶,卻也造成在信號覆蓋范圍內,無線網絡都會分配到IP地址,很容易被某些入侵者利用,留下了極大的安全隱患。禁用DHCP,可以阻止黑客輕易入侵,從一定程度上起到了安全防護的作用,因此對于無線網絡用戶來說,這是很有必要的。
3.5采用虛擬專用網絡
VPN(VirtualPrivateNetwork)即虛擬專用網絡,是指通過公共的IP網絡平臺,應用隧道及加密技術,來保證專用數據的安全性。VPN技術只是用來增強網絡安全的一種方式,并沒有囊括在802.11標準定義中。目前已經有許多企業和運營商已經采用了這項技術,來協助保密和地址過濾等。除了以上的一些措施外,用戶也要提高自身的安全用網意識,積極采取措施,保證無線網絡安全。
關鍵詞:無線局域網 校園網 安全防御
無線網絡已逐步在校園網絡普及,逐漸成為校園網絡建設的重點。無線網絡給我們帶來便捷的同時,也帶來了網絡安全隱患,無線網絡的信道開放的特點,使得網絡數據容易被攻擊者竊聽、修改或轉發。因此,探索校園無線局域網安全防御策略和解決方案具有非常重要的理論意義和現實意義。
一、校園無線網的安全問題
(一)未經授權使用網絡服務
由于WLAN的開放式訪問方式特點,未經授權也可以使用網絡資源。占用無線通道,增加了帶寬費用,合法用戶的服務質量遭到影響,而且非法用戶濫用無線網絡資源,使得合法的無線校園網的用戶無法正常使用。
(二)地址欺騙和會話攔截
現在許多網卡都支持MAC地址重新配置,非法用戶可以通過將自己所用網絡設備的MAC地址改為合法用戶MAC地址的方法,使用MAC地址“欺騙”,成功通過交換機的檢查,進而非法訪問網絡資源。非法用戶利用無線網路的特點監聽合法站點的MAC地址,并對合法的MAC地址進行惡意攻擊。
(三)高級入侵
一旦攻擊者侵入無線網絡,它將成為進一步入侵其他系統的起點。多數學校部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統的漏洞,只要攻破無線網絡,整個網絡就將暴露在非法用戶面前。
二、無線局域網安全技術
目前有很多種無線局域網的安全技術,有物理地址(MAC)過濾、服務集標識符(SSID)匹配、有線對等保密(WEEP)、端口訪問控制技術(IEEE802.1x)、IEEE 802.11i等。下面對在無線局域網中常用的安全技術進行簡介。
(一) 物理地址(MAC)過濾
物理地址過濾屬于硬件認證,而不是用戶認證,而且MAC過濾技術的可擴展性比較差,MAC地址在理論上還可以偽造,因此這也是較低級別的授權認證,也只適合于小型網絡規模。
(二)服務集標識符(SSID)匹配
通過SSID設置,可以對用戶進行有效分組,保證網路的安全和性能。對AP設置不同的SSID,無線工作站必須出示正確的SSID才能訪問AP,這樣就可以允許不同的用戶群組接入,并且通過設置隱藏接入點及SSID的權限控制來達到保密的目的。
(三)有線對等保密(WEP)
有線對等保密(Wired Equivalent Privacy,WEP)是一種數據加密算法,用于提供等同于有線局域網的保護能力。使用了該技術的無線局域網,所有客戶端與無線接入點的數據都會以一個共享的密鑰進行加密,密鑰的長度有40位至256位兩種,密鑰越長,黑客就需要更多的時間去進行破解,因此能夠提供更好的安全保護。
(四)端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP)
IEEE802.1x是基于端口的網絡訪問控制標準,它能提供一種對連接到局域網的用戶進行認證和授權的手段,達到接受合法用戶接入,保護網絡安全的目的。
(五)IEEE 802.1li
IEEE 802.11i的目標是以針對無線網路原本所具備的弱點加以補強,目前802.11i主要定義的加密機制可以分為TKIP(Temporal Key Integrity Protoco1)與AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密機制。
三、校園無線網的安全防御策略
無線網絡利用空中載波信道作為傳輸媒介,物理層和數據鏈路層的工作原理與有線網絡不同,遵循的安全策略也不同。在校園無線網絡的設計中,如何保證合法用戶的使用權限,避免非法用戶的侵入已成為無線網絡規劃者的設計重點。
現有的WLAN產品的安全技術中,SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP—TLS擴展認證、VLAN劃分等一系列技術的得到廣泛運用,有效的提升無線網絡的安全防御性能。我們可以把室內型和室外型網絡設備均支持SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP—TLS擴展認證、VLAN劃分技術,可提供完備的安全防御功能。啟用了目前先進的SSID廣播禁止功能之后,由于空中不再廣播明文的SSID號碼,使得那些擁有截獲SSID密碼的無線終端非法訪問網絡。
另外,WEP(有線等效密鑰)和WPA/WPA2(接入保護)技術的出現,可以通過大量的密文加密位和動態的密鑰協議(TKIP/AES),為非法訪問者制造難以攻破的障礙,從而避免網絡安全事件的發生。我們在校園無線網絡規劃中,由于目前各高校校園有線網絡已具備一定規模,因此,在無線網絡融合進有線網絡進行數據交換之前,通過WEP和WPA加密技術可以增加一層保護手段,可以極大的提升安全防御的能力。
另外,對于室內/室外型AP產品,由于其分別開放于室內高密度訪問和室外環境,面對的是所有用戶群體,對不同的用戶群體的權限和身份識別則成為必須的功能。因此,AP產品應選擇具備多BSS的劃分和802.1Q VLAN功能的無線產品,協助接入層無線用戶與接入層交換機用戶同樣接受全網統一管理和VLAN的劃分,這樣可以徹底解決無線用戶無法管、不方便管的疑難問題。
對于覆蓋室內/室外環境的無線接入點設備而言,由于接入用戶比較復雜,網絡應用不盡相同,因此針對不同用戶、不同應用的QOS保證必須具備。我們可以采用支持標準的 802.11i協議的網絡無線接入點產品,可針對不同的BSS或802.1 Q VLAN設置優先級保證,有利于充分、合理的利用信道帶寬。
四、結束語
信息化的普及使得校園網絡已經與教職工、學生的工作和生活息息相關,是教職工和學生獲取信息和資源的主要途徑。校園網絡為用戶帶來了很大便捷的同時,網絡安全問題的存在時刻威脅著用戶信息的安全。只有運用有效的安全技術和策略,才能阻止非法用戶利用校園網絡進行非法操作,保證校園網絡的正常、穩定運行。
參考文獻
[1]孟彥.無線局域網網絡安全問題研究[J].信息安全與技術,2012(01).
[2]趙祖應,鄧平.無線局域網安全策略方案設計[J].辦公自動化,2010(14).
關鍵詞:無線;局域網;安全問題;防范措施
近些年,無線局域網技術發展速度是非常快的,它已經替代了傳統的有限局域網,受到了廣大用戶的歡迎。無線局域網具有以下優勢:(1)無線局域網使用戶的加入更加輕松;(2)無線局域網的布線節省了大量的人力和物力,不需要網線與插槽;(3)使用者可以使用移動上網設備進行自由活動;(4)在網絡發生故障時,主需要對發送端和接收端的訊號進行檢測就可以了。然而,無線局域網相對于有線局域網而言,產生了新的安全問題。本文對這些問題進行了分析,并且提出了相應的防范措施。
1、無線局域網安全分析
網絡的安全問題是需要在建立時就應該進行考慮,無線局域網絡也是如此。以下對無線局域網所面臨的風險進行分析。
1.1 容易侵入
為了能夠使用戶發現無線網絡的存在,網絡就必須發送有特定參數的信標幀,這樣為攻擊者的攻擊提供了必要的網絡信息。
1.2未經授權使用服務
開放式訪問方式是無線局域網的主要訪問方式,沒有經過授權就使用網絡資源不僅會使帶寬費大大增加,而且還會導致法律糾紛。
1.3非法的AP
無線局域網有很多特定,易于訪問和配置簡單就是其中典型的特性,任何人的計算機都可以通過自己購買的AP連入網絡,而不經過授權來實現。
1.4地址欺騙和會話攔截
攻擊者對數據流的重定可通過欺騙數據幀的方式來進行,并且此方式的實施使ARP表變得更加混亂,然后將網絡中站點的MAC地址很容易就獲得到,這些地址可以被用來得以攻擊時使用。攻擊者可以通過AP發出的廣播幀發現AP的存在然后裝扮成AP進入網絡, 通過截獲會話幀發現AP中存在的認證缺陷,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網絡。
1.5拒絕服務攻擊
無線局域網存在一種比較特殊的拒絕服務攻擊,攻擊者可以發送與無線局域網相同頻率的干擾信號來干擾網絡的正常運行,從而導致正常的用戶無法使用網絡。
2、 無線局域網策略
2.1加強網絡訪問控制
無線網絡配置的風險可以通過加強網絡訪問控制來進行減少。如果在像防火墻這樣的網絡安全設備外安置AP,連接到主干網絡時最好通過VPN技術進行,更好的辦法是使用基于IEEE802.1X的新的無線網絡產品。用戶級認證的新的幀的類型被IEEE802.1X新產品定義,借助于企業網已經存在的用戶數據庫,對IEEE802.1X進行轉換。
2.2阻止未被認證的用戶進入網絡
通過加密辦法對認證過程進行加密是認證的前提,這樣猶豫訪問特權是基于用戶身份的,對通過電波傳輸的網絡流量進行保護可以通過VPN技術來進行。一旦網絡成功配置,嚴格的認證方式和認證策略是非常重要的。另外,對無線網絡進行定期測試,從而網絡設備使用安全認證機制得以保證,并且網絡設備的配置正常也得以保證。
2.3定期進行的站點審查
無線網絡與其他網絡是一樣的,也需要注重安全管理。在入侵者使用網絡之前,尋找未被授權的網絡通過接收天線來進行,應當盡可能地頻繁進行物理站點檢測,對于非法配置站點的存在幾率可以通過頻繁的檢測來發現,但是這樣不僅會花費很多的時間,而且移動性較差。選擇小型的手持式檢測設備是一種折中的辦法。管理員可以隨時到網絡的任何位置進行檢測,主要通過手持掃描設備來進行。
2.4采用可靠的協議進行加密
如果用戶的無線網絡用于傳輸比較敏感的數據,那么僅用WEP加密方式是遠遠不夠的,需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。
2.5拒絕筆記本ad-hoc方式接入
在任何企業中都應當采取這一嚴厲的措施。ad-hoc模式將允許Wi-Fi用戶直接連接到另一臺相鄰的筆記本,這將構成你完全不能想象的恐怖的網絡環境。
2.6利用MAC阻止黑客攻擊
利用基于MAC地址的ACLS(訪問控制表)確保只有經過注冊的設備才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖,設置的障礙越多,越會使黑客知難而退,不得不轉而尋求其他低安全性的網絡。
2.7有效管理無線網絡的ID
所有無線局域網都有一個缺省的SSID(服務標識符)或網絡名。立即更改這個名字,用文字和數字符號來表示。如果企業具有網絡管理能力,應該定期更改SSID。不要到處使用這個名字:即取消SSID自動播放功能。
2.8提高已有的RADIUS服務
公司的遠程用戶常常通過RADIUS(遠程用戶拔號認證服務)實現網絡認證登錄。企業的IT網絡管理員能夠將無線局域網集成到已經存在的RADIUS架構內來簡化對用戶的管理。這樣不僅能實現無線網絡的認證,而且還能保證無線用戶與遠程用戶使用同樣的認證方法和帳號。
2.9采用強力的密碼
一個足夠強大的密碼可以讓暴力破解成為不可能實現的情況。相反的,如果密碼強度不夠,幾乎可以肯定會讓你的系統受到損害。
2.10對網絡入侵者進行監控
需要對攻擊的發展趨勢進行跟蹤,了解惡意工具是怎么連接到網絡上的,怎么做可以提供更好的安全保護。你還需要對日志里掃描和訪問的企圖等相關信息進行分析,找出其中有用的部分,并且確保在真正的異常情況出現的時間可以給予及時的通知。
3、結語
在無線局域網的發展中,一個重要的問題就是無線局域網絡的安全問題。目前,基本上的安全防范措施的提出都是安全問題出現問題才提出來的,也就是說,發生損失才進行防止。而最好的辦法就是進行事前控制,將損失降至最低。不斷完善無線設備,加強加密技術,提高傳輸速度,只有這樣無線局域網才會順利發展。
參考文獻:
[1] 涂軍, 張穎江, 黃慶炬. 無線局域網的安全[J]. 湖北工業大學學報, 2006, (04).
[2] 趙琴. 淺談無線網絡的安全性研究[J].機械管理開發, 2008, (01).
1大數據時代簡介
大數據主要是指海量數據,數據中一般存在著相當多的有用信息,且這些數據的類型以及結構都趨向于多樣化、處理和更新速度快等特點。大數據的處理以及應用主要借助于云計算,利用云計算將數據作為計算機網絡的中心,改變人們對資源進行獲取的方式。大數據時代,網絡犯罪現象的明顯,以及網絡安全的重要性,導致大家對大數據時代下的網絡安全問題越來越重視。要想充分保證大數據時代下的網絡安全,首先要認識到網絡安全的現狀,并對網絡安全涉及的物理、信息安全等問題做全面的分析。在分析保護網絡物理安全時,要充分全面的考慮網絡設計和規劃、電源故障、硬件配置等問題。對信息內容安全進行綜合分析時,要注意保護數據信息的安全,以防止數據泄露以及破壞發生,并對用戶設置一定的權限,以防止非法用戶對信息進行非法操作,隨意對數據進行修改,偷竊,給合法用戶的安全造成威脅。當信息數據被破壞時,需要及時對數據的安全進行維護,并及時抑制非法操作。在分析數據的傳播以及管理安全時,要防范病毒入侵以及網絡攻擊。對網絡安全系統做好維護工作,從而保障數據傳輸的安全性。對數據的安全進行管理分析時,要充分綜合的對軟件可操作性進行分析,并對計算機網絡的安全性進行實時監控,及時對威脅網絡安全的因素采取應對措施,從而達到保護數據的目的。總之,在大數據時代下進行計算機網絡安全防范工作,既要做好計算機網絡的硬件維護,還要對計算機網絡的數據安全性做好常規的維護管理,并綜合分析計算機網絡傳播和管理安全,從而保障大數據時代背景下計算機網絡的安全性。
2大數據時代網絡安全的現狀
在大數據時代下,對網絡安全采取防范措施非常有必要。所謂的計算機網絡安全主要指管理、保障網絡數據的保密性、完整性和可用性。計算機網絡安全主要可以分為物理和邏輯安全兩方面,物理安全主要指計算機硬件設施受到的保護,防止硬件設施上的信息數據被丟失,破壞。而邏輯安全主要指數據的完整性、保密性、可用性。避免非法用戶對數據進行破壞以及篡改。伴隨著社會科技經濟的不斷發展,信息技術的不斷發展,互聯網、物聯網和各種云技術也在不斷地更新進步,存儲的數據容量越來越多,導致海量的數據安全問題現在受到人們的密切關心。伴隨著信息技術的普遍應用,計算機網絡與人的關系越來越密切。計算機大數據時代所提到的大并不僅僅是描述數據量大,還代表了數據的種類多,以及數據與數據之間的整合和交換以及分析。大數據時代下,計算機網絡的普及導致數據面臨的安全問題也越來越多,大家對計算機數據安全問題也越來越重視,并在防范計算機網絡安全方面做了很多的研究和探索。但計算機網絡還是經常受到黑客的攻擊,從而造成網絡癱瘓、很多密碼賬號信息被竊取等問題,使得計算機網絡安全問題很嚴重,嚴重威脅到了個人隱私安全的同時,更威脅到了社會經濟的發展以及社會和諧。
3威脅網絡完全的因素
隨著計算機網絡在社會各個方面的廣泛應用,已成為很多人日常生活和工作中必不可缺的一部分。但計算機網絡在給人們帶來便利的同時,也面臨著來自各個方面的安全威脅,主要有以下5個方面:
3.1病毒感染
隨著計算機網絡的發展,計算機網絡病毒的種類越來越多,且不斷的發展變化,使得計算機網絡安全受到了嚴重的威脅。由于病毒具有可復制性的特征,使得它可以迅速的感染計算機的其他程序以及軟件。當計算機的程序或者軟件被病毒感染時,一旦運行計算機,病毒就會迅速的對計算機網絡系統發起攻擊、破壞,從而使得計算機網絡的數據信息安全受到嚴重影響,甚至使計算機網絡系統陷入癱瘓狀態。
3.2操作失誤
雖然計算機的應用越來越普遍,但是對于計算機的使用很多人還不夠熟練,技術上還存在一定的缺陷。很多用戶不是很懂計算機使用的方法以及規則,所以經常會有操作失誤的現象,從而引發計算機網絡的安全漏洞,導致計算機陷入癱瘓狀態,或者不小心將重要信息泄露出去,使得不法分子有機可趁,對私密信息進行剽竊,給用戶造成巨大的影響。
3.3黑客攻擊
在大數據時代下,黑客可以更隱秘的對計算機系統進行攻擊,且攻擊所造成的后果影響很大。由于大數據時代下,信息的價值密度小,一般的計算機網絡分析工具很難從海量的數據中識別出黑客攻擊,導致黑客可以將海量的私密數據信息竊取出來。同時,黑客還可以對系統發起攻擊,導致系統癱瘓,使得計算機網絡的正常運行受到嚴重的威脅。
3.4系統漏洞
系統沒有十全十美的,理論上,所有系統都是存在漏洞的。用戶在對計算機的軟件、硬件進行使用,和對程序進行下載的過程中,通常也都會由于一些疏忽而引發計算機網絡系統的漏洞。前者相對容易解決,可以通過下載、安裝補丁等方法對漏洞進行修復;后者則會對系統造成很大的破壞,使數據的安全性受到嚴重威脅。還有非法分子對計算機網絡進行攻擊,也會引發系統漏洞,從而盜取客戶的隱私和信息。
3.5管理不到位
管理計算機網絡是維護其安全的關鍵環節,是計算機管理員和計算機用戶的重要職責。很多計算機用戶疏忽對計算機網絡進行管理,使得計算機系統容易受到各種網絡威脅的破壞。如果管理員不加強對計算機網絡的管理,用戶又缺乏網絡安全意識,就很容易將重要的信息泄露出去,從而給用戶的生活造成嚴重的影響。各企業,政府機關部門的辦公系統中一般都存儲有很多重要信息,所以計算機管理員更應該加強對計算機網絡系統的安全管理。否則,一旦不法分子入侵,將會給整個企業乃至整個國家都造成不可挽回的嚴重后果。
4網絡安全防范措施
加強計算機網絡安全的防范措施,對計算機網絡系統來說意義重大。所以以網絡安全為出發點,建設一套完整的計算機網絡安全防范體系非常重要。既要從技術上加強計算機網絡系統的安全防范能力,又要提高用戶對于計算機網絡安全的防范意識,同時還要加強對計算機網絡安全的管理,從而有效實現全方位保障計算機網絡安全。
4.1對設備輸入加強控制
隨著科技的發展,無線網絡的普及,大數據時代的到來,設備輸入防范不再僅僅指傳統的有線接入防范,還包括了無線防范。傳統有線防范,只能有效的對有線接入的設備以及用戶進行安全防范,而對無線防范的手段尚不成熟。用戶在使用無線網絡時,有可能繞過安全設備,讓接入設備直接進入大數據的系統中,因此難以保障安全性。
4.2加強系統漏洞修復功能
在大數據時代,必須及時更新計算機系統的補丁,全面修復計算機系統的漏洞,才能有效避免蠕蟲病毒攻擊系統,維護系統的安全。不過,系統修復功能應該在黑客以及蠕蟲病毒攻擊之前做好防范措施,而不是在受攻擊之后再補救。當微軟在更新站點了新的漏洞補丁時,用戶應該及時將補丁下載安裝,對系統進行修復。另外用戶也可以下載一些計算機網絡安全管理工具,及時實現漏洞修復,從而有效的保證計算機網絡系統的安全。
4.3加強網絡病毒防范
在當今大數據時代背景下,對計算機網絡病毒進行防范是計算機網絡安全防范中最困難的,但也是最重要的。對計算機網絡進行日常安全管理時,要做到持續、全面,才能有效的保障計算機網絡的安全。使用殺毒軟件,可以對系統安全進行實時監控,經常性的掃描并處理病毒,對系統安全起著至關重要的作用。另外,由于殺毒軟件需要隨著病毒的不斷變化而不斷更新病毒的樣本庫,所以殺毒軟件應該保持及時更新。
4.4加強網絡黑客入侵防范
黑客入侵是計算機網絡安全的又一大威脅,整合大數據資源,建立防范攻擊模型,可以有效防范黑客入侵所造成的危害。同時,防止黑客入侵,除了利用有效的工具外,還要在計算機網絡的內外網之間加強隔離,并合理利用防火墻以及路由器,降低黑客入侵的可能性。
5結語
關鍵詞:無線校園網;可擴展性;可管理型;安全性
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)29-0036-02
智慧校園作為目前高校信息化發展的目標借助了互聯網、物聯網、云計算等技術,將教學、科研、管理、生活學習環境進行深度融合,讓管理者、教師、學生能以更加精細和動態的方式管理學習工作和生活的狀態,最終提升管理、教學、科研、服務質量。因此如何設計建設一個穩定、高性能、安全的無線校園網則顯得尤為重要。
1無線方案需求分析
1.1無線覆蓋需求
無線信號應該在覆蓋范圍內無處不在,但是更多的覆蓋范圍,需要更多的設備和投資,因此覆蓋范圍和覆蓋程度和實際需求相關,同時也和無線AP的部署方式相關。不同場所建筑由于用途不同,結構千差萬別,采用合適的AP部署方式將可以得到最優的信號覆蓋。
1.2穩定可靠的需求
無線網絡的傳輸方式和原理導致其穩定性和可靠性有天生不足,電磁波非常容易受到各種障礙物、其他同頻率電磁波、相鄰AP甚至天氣的影響,正是如此無線網絡的設計重點要考慮如何保障無線網絡的穩定可靠。
1.3無線性能及容量的需求
無線網絡性能包括了AP吞吐量和用戶的吞吐量兩個方面的因素,AP吞吐量與AP、K端支持的協議標準和空間流數量有關,而用戶吞吐量還和AP接人用戶數量有關,設計無線校園網時不能僅僅考慮信號覆蓋,還要考慮如何保證無線用戶的應用能夠流暢運行,無線網絡不成為性能瓶頸,特別高密度用戶環境中能夠確保所有并發用戶的無線性能。
1.4無縫漫游需求
無線用戶通常都會在移動過程中使用網絡,當終端從一個位置移動到另外一個位置,為了提升用戶的上網體驗,漫游過程中信號不能中斷、網絡不能中斷。達到無縫漫游、無感知漫游的目的。
1.5易管理需求
無線網絡的管理除具備有線網絡管理的部分特征外,還有自己的管理需求,如終端定位需求,怎樣直觀的查看無線信號覆蓋效果進行無線規劃也成為無線網絡管理的必備需求。
2無線校園網設計原則
2.1穩定可靠原則
無線網絡相比有線網絡在可靠性方面有先天不足,電磁波傳輸更容易受到各種干擾導致網絡的不可靠,而隨著移動應用的發展,無線網絡對用戶的重要性越來越高,因此無線網絡穩定可靠更為重要。在設計無線網絡時首要考慮盡量減少無線干擾、信號補償、關鍵部件冗余等措施。
2.2安全性原則
無線網絡的便利性也導致了其安全風險更高,而移動應用和智能終端的普及,用戶越來越依賴于無線網絡,無線網絡上可以傳輸普通的數據,也有用戶的身份信息神州銀行等隱秘性要求很高的數據,因此無需網絡必須具有良好的安全防范措施和密碼保護技術,靈活方便的權限設定和控制機制,使系統具有多種有效手段,防范各種形式對網絡的非法入侵和內部攻擊,以保證網絡的實體安全、網絡安全、系統安全和信息安全,有效地保障正常的業務活動和防止內部信息數據不被非法竊取、篡改或泄漏。
2.3高性能原則
無線網絡是一個競爭性的共享網絡,用戶數量越多,單用戶性能越低,而移動應用的普及帶來了無線帶寬性能需求的提升,網絡鏈路和設備具備足夠高的數據轉發能力,保證各種信息的高質量無阻塞傳輸;交換系統具有很高的交換容量與多服務支持的能力,保證網絡服務的質量。
2.4可擴展性原則
在網絡規模不斷發展的情況下,無線網絡應滿足在不改變主體架構與大部分設備的前提下,平滑實現升級和擴充,降低原有網絡的硬件投資,并保證擴展后的系統可用性與穩定性。預留AC、AP可升級的能力,為未來無線校園網擴容提供基礎。
3整體方案設計拓撲
在校園網網絡中心部署1臺或多臺AC無線控制器,對全校所有無線AP進行統一管理控制,多臺無線控制器可以實現1+1或N+I冗余。在網絡中心部署有線無線網管系統(現有DCLM網管系統)對全網有線無線設備進行統一管理。部署統一認證網關(現有CS16809核心交換機和城市熱點認證計費網關)來實現有線無線接人用戶統一認證計費與運營管理。所有AP接入到POE交換機或通過POE模塊接入到接入交換機,實現POE遠程供電。在高性能、高密度區域選擇支持802.11ac協議的AP產品,可以得到更高的帶寬。
我院校園網采用了經典的三層架構,即核心層、匯聚層和接入層。校園不同區域劃分了不同的VLAN和子網。這種架構的校園網,AC部署在網絡中心,各AP在不同區域有不同的管理地址和用戶地址段,屬于不同的VLAN。AC與AP之間三層連接。這種架構有線用戶和無線用戶按同樣的區域來劃分不同的VLAN和子網。在網絡中心部署DHCP服務器和AC控制器為AP和無線用戶分配IP地址,為了實現準入控制,利用AC實現BAS功能,配合DCN DCSM或其他RAIDUS實現POR-TAL認證。